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(54) Title: SMART INTEGRATED CIRCUIT 
(54) Titre: CIRCUIT INTEGRE INTELLIGENT 
(57) Abstract 

The invention concerns a smart integrated circuit characterised in 
that it has a main processor (1) and an operating system executing a 
main programme (PI) to set up a main process performing tasks, at 
least a secondary processor (2) capable of executing simultaneously at 
least a secondary programme (P2) to constitute a task-performing process, 
power circuits (6) common to the processors and means ensuring that the 
secondary processes) with similar energy and different operating signature, 
are carried out simultaneously with the main process by inducing in the 
power circuits, continuously or intermittently, energy disturbances which 
are superposed on those of the main process to produce continuous or 
intermittent data encryption. 

(57) AbrSge* 

La pre*sente invention concerne un circuit integr6 intelligent. Ce 
circuit inte'gre' intelligent est caracterise* en ce qu'il possede un processeur 
principal (1) et un systeme d'exploitation executant un programme 
principal (PI) pour constituer un processus principal rdalisant des taches, 
au moins un processeur secondaire (2) capable d'executer concurremment 
au moins un programme secondaire (P2) pour constituer au moins un 
processus rCalisant des taches, des circuits d'alimentation (6) communs 
entre les processeurs et des moyens permettant de s'assurer que le 
ou les processus secondaires d'energie similaire et de signature de 
fonctionnement diffSrente, s'effectuent concurremment avec le processus 
principal en induisant dans les circuits d* alimentation, de facon continue 
ou intermittente, des perturbations energ6tiques qui se superposent a celle 
du processus principal pour re*aliser un brouillage continu ou intermittent. 
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"CIRCUIT INTEGRE INTELLIGENT" 

II est connu que les microprocesseurs ou les microcalculateurs ou des 
5 circuits integres intefligents executent sequentiellement des instructions d'tin 
programme enregistre dans une memoire, en synchronisme avec un ou 
plusieurs signaux de cadencement references par rapport £ des signaux 
d'horloge fournis au microprocesseur ou au microcalculateur ou au circuit 
integre soit en interne soit en externe. Par circuit Integra intelligent, on 
10 comprend un circuit integre comportant des circuits specifiques et limites & 
{'execution d'un nombre restreint destructions ou de fonctionnalites pour 
lesquels ifs ont ete specifiquement developpes. 

II s'est avere possible de tracer les differentes phases de cette 
execution de programme en fonction du temps puisque Texecution des 

15 instructions s'effectue sequentiellement suivant un processus predetermine par 
ce programme, en general en synchronisme avec les signaux d'horloge qui 
cadencent regulierement le processeur. En effet, tout programme se traduit par 
une suite destructions qui doivent etre executees successivement dans un 
ordre connu a Favance, les instants de d6but et de fin de chaque instruction 

20 etant parfaitement connus car elle s'execute suivant un processus 
predetermine qui, pour des moyens d'analyse sophistiques, possede ce que 
Ton peut appeler une " signature " reconnaissable. II est connu que cette 
signature du processus peut, par exemple, etre obtenue a partir des signaux de 
mesure des energies consommees par les differents circuits eiectriques qui 

25 sont mis en oeuvre par Pinstruction ou la sequence ^instructions ex6cutee. II 
est done en principe possible de connaTtre la nature de la sequence 
destructions qui s'execute a un moment donn6 dans Tunite de traitement du 
processeur puisque le programme qui se deroule est constitue de cette suite 
predetermine^ destructions dont la signature est connue. 

30 On peut arriver par de tels moyens a determiner quelle est Pinstruction 
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particuliere qui s'execute ainsi que les donnees utilisees par cette instruction. 

Cette possibilite de pouvoir observer les details de deroulement d'un 
programme dans un microprocesseur ou un microcalculateur est un 
inconvenient majeur lorsque ce microprocesseur ou microcalculateur est utilise 
5 dans des applications de haute securite. En effet, un individu mal intentionne 
pourrait ainsi connaftre les etats successifs dans lesquels se trouve le 
processeur et tirer parti de ces informations pour connaTtre certains resultats 
sensibles de traitement interne. 

On peut imaginer, par exempie, qu'une action donnee puisse se 
10 produire a des instants differents en fonction du resultat d'une operation 
securitaire determinee, tel que le test d'une information confidentielle interne ou 
le dechiffrement d'un message, ou encore le controle d'integrite de certaines 
informations. Selon Nnstant considere, on pourrait, par exempie agir sur le 
processeur, ou obtenir la valeur de certains registres par investigation 
is physique, afin d'obtenir des renseignements sur le resultat ou sur le contenu 
confidentiel de ('information, et ceci meme dans le cas de calculs 
cryptographiques sur la cle secrete de chiffrement utilisee. 

II est connu des dispositifs qui apportent un premier perfectionnent aux 
microcalculateurs securises en les dotant de circuits qui generent des 
20 impulsions d'horloge aleatoires. De cette maniere, les investigations rendent 
particulierement difficile Tobservation des evenements, puisque leur 
synchronisation devient vite impraticable et la survenance d'un evenement 
devient difficilement pr§visible. 

Cependant, ce type de solution pr6sente de nombreux inconvenients. 

25 Tout d'abord, la conception de tels circuits est particulierement delicate 

et fastidieuse car il n'est pas possible de simuler un foncttonnement aI6atoire 
dans la totalite d'un circuit aussi complexe qu'un microcalculateur et encore 
plus difficile de tester ces circuits en fin de fabrication dans leur comportement 
brouille. Une suite aleatoire d'impulsions d'horloge est, en effet, tres difficile a 
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simuler pour la mise au point des circuits, mais ii est encore plus difficile de 
maitriser tous les comportements de Tensemble des circuits logiques du 
processeur, notamment pendant les periodes de commutation des signaux sur 
les bus internes et dans les registres. 

5 II est aussi connu un autre dispositif qui introduit une nouvelle 

architecture basee sur ('utilisation d'une memoire trompe-roeil utilisee ou non 
par le microprocesseur de fagon totalement desynchronisee par rapport au 
milieu exterieur. De cette maniere, I'observation des evenements et des 
signatures est rendue particulierement difficile. 

io Cependant, Putilisation d'une horioge aleatoire ou d'une memoire 

trompe-roeil, meme si elles apportent des perfectionnements interessants, ne 
modifie pas le comportement de base du microprocesseur qui est toujours 
s6quentiel, meme si les instructions qui se succedent font partie de processus 
differents. II reste done theoriquement possible de " filtrer " les mauvaises 

15 instructions pour ne conserver que les bonnes et ainsi tirer parti des 
informations emanant du microprocesseur, 

Un autre inconvenient reside dans le fait que Ton doit sauvegarder les 
contextes d'execution des programmes interrompus par des sequences 
trompe-roeil et les retablir, ce qui n6cessite pour cette sauvegarde des 
20 ressources memoires non negligeables. 

C'est un des buts de I'invention que de doter le circuit int6gre intelligent 
de moyens interdisant le type d'investigation decrit plus haut, et plus 
generalement d'emp^cher toute interpretation des signaux provenant du 
processeur ou de Tunite de traitement principale. Ce type de circuit est appele 
25 "MUMIC" (Multi Untraceable Microcomputer). 

Ce but est atteint par le fait que le circuit integre intelligent possdde un 
processeur principal et un systeme d'exploitation executant un programme 
principal pour constituer un processus principal r6alisant des taches, au moins 
un processeur secondare capable d'executer concurremmment au moins un 
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programme secondaire pour constituer au moins un processus realisant des 
taches, des circuits d'alimentation communs entre les processeurs et des 
moyens permettant de s'assurer que le ou les processus secondares d'energie 
similaire et de signature de fonctionnement differente, s'effectuent 
5 concurremment avec !e processus principal en induisant dans les circuits 
d'alimentation, de facon continue ou intermittente, des perturbations 
energetiques qui se superposent a celles du processus principal pour realiser 
un brouillage continu ou intermittent. 

Selon une autre particularite, les processeurs principaux ou 
10 secondaires sont chacun un microprocesseur ou microcalculateur securise. 

Selon une autre particularite, Pactivation de ces moyens est declenchee 
par le systeme d'exploitation du processeur principal (1) du circuit integre 
intelligent, de telle sorte que la securite supplemental creee par les moyens 
ci-dessus ne depend que d'une decision resultant de Texecution par le 
15 processeur principal du systeme d'exploitation situe dans un endroit du circuit 
integre inaccessible de Texterieur. 

Selon une autre particularite, le circuit integre intelligent possede une 
memoire principale, dediee au processeur principal, contenant le systeme 
d'exploitation dans au moins une partie de celle-ci inaccessible de Texterieur et 
20 accessible par au moins un des deux processeurs et une memoire secondaire 
respectivement dediee au processeur secondaire. 

Selon une autre particularite, le circuit integre intelligent possede au 
moins un busde communication entre les processeurs, leurs memoires 
respectives et un circuit d'entree sortie. 

25 Selon une autre particularite, le circuit integre intelligent est realise a 

I'alde de circuits logiques disperses sur le ou les substrats de facon que 
I'implantation physique des deux processeurs soit realisee sans blocs 
fonctionnels facilement reperables, par exemple par imbrication physique mais 
avec line organisation logique separee. 
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Selon une autre particularite, le processeur secondaire execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

Selon une autre particularite, le processeur secondaire execute des 
5 taches du processus secondaire correlees a celles du processus principal 
execute par le processeur principal de fa?on telle que les resultats 
intermediates de traitement n'apparaissent jamais au cours du processus. 

Selon une autre particularite, le programme secondaire utilise un 
espace de travail plus petit que celui du programme principal. 

io Un second but de I'invention est de faire en sorte que le processus 

principal ne puisse fonctionner que si le processus secondaire est operationnel. 

Ce second but est atteint par le fait que le circuit integre intelligent 
possede des moyens de communication entre le processeur principal et le 
processeur secondaire. 

15 Selon une autre particularite, les moyens de communication entre les 

deux processeurs permettent au processeur principal de savoir si le processeur 
secondaire est op6rationnel ou non. 

Selon une autre particularite, les moyens de communication entre les 
deux processeurs permettent au processeur principal de realiser une 
20 authentification du processeur secondaire. 

Selon une autre particularite, le test d'authentification ou de 
fonctionnement du processeur secondaire est realise en cours de traitement 
par le processeur principal. 

Selon une autre particularite, le moyen d'activation du processeur 
25 secondaire est commande soit par le processeur principal et son programme 
principal, soit par un systeme d'interruption, soit par un compteur de temps, soit 
encore par une combinaison des trois 
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Un troisieme but de Pinvention est de faire en sorte que le processus 
secondaire mette en csuvre un programme qui est totalement different du 
programme principal. 

Ce troisieme but est atteint par le fait que le processeur secondaire 
5 execute des taches du processus secondaire sans correlation avec celles du 
processus principal executees par le processeur principal. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

io Un quatrieme but de Pinvention est que le programme secondaire utilise 

un programme dont la signature induit des effets opposes a ceux emanant du 
processeur principal. 

Ce quatrieme but est atteint par le fait que le programme secondaire 
met en oeuvre un processus correle au processus principal, de telle fagon que 
15 la combinaison des deux processus fournisse une signature de fonctionnement 
du processeur secondaire qui dissimule celle du processeur principal. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches correlees a celles du processeur principal de fa<?on telle que les 
resultats intermediates de traitement n'apparaissent jamais au cours du 
20 processus. 

Un cinquieme but de Pinvention est de realiser une architecture 
originale en utiiisant des circuits valid6s, sans avoir besoin de creer une 
nouvelle technologie de semi-conducteurs ou de nouveaux precedes de 
fabrication. 

25 Ce cinquieme but est atteint par le fait que le processeur secondaire 

geut se substituer au processeur principal et reciproquement. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches correlees a celles du processeur principal par synchronisation des 
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processus et comparaisoh de valeurs de deux donnees provenant chacune du 
processeur respectif executant son programme respectif. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches correlees a celles du processeur principal par deduction logique du 
5 programme secondaire a partir du programme principal. 

Selon une autre particuiarite, le circuit integre intelligent comporte au 
moins deux processeurs et chacun des processeurspossede un bus respectif 
auxquels sont reliees les memoires vives, mortes pour chaque processeur et 
non volatile pour le processeur principal. 

10 Selon une autre particuiarite, le circuit integre intelligent comporte une 

pluralite de processeurs dont chacun est relie a un seul et meme bus de 
communication multiplexe entre les processeurs et un ensemble de m6moire 
vive, morte et non volatile relie a ce bus, les conflits d'acces a ce bus commun 
etant geres par un circuit d'arbitrage. 

15 Selon une autre particuiarite, le processeur secondaire execute 

successivement et dans n'importe quel ordre, soit des programmes correles, 
sort des programmes sans correlation avec ceux executes par le processeur 
principal. 

D'autres particularites et avantages de Pinvention apparaftront plus 
20 clairement a la lumiere de la description qui va suivre, faite en reference aux 
dessins annexes dans lesquels : 

- la figure 1 represente un schema logique d'un mode de realisation du 
circuit integre de Pinvention a deux processeurs avec chacun leur bus ; 

- la figure 2a represente un exemple de realisation d'un circuit de 
25 communication entre deux processeurs du circuit ; 

- la figure 2b represente la structure d'une trame utilisee dans la 
communication entre les deux processeurs du circuit ; 
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- la figure 3 represente un schema d'un mode de realisation du circuit 
integre de Pinvention a deux processeurs avec un seul bus ; 

- ia figure 4 represente un schema d'un mode de realisation d'une 
protection par synchronisation et comparaison de deux valeurs de donnees 

5 provenant de chaque processeur ; 

- la figure 5 represente un exemple de realisation d'une memoire 
double ports accessible sur chaque port par un processeur du circuit ; 

- la figure 6 represente schematiquement un mode d'implantation 
physique des elements du circuit selon Pinvention ; 

io - la figure 7 represente le mode d'implantation traditionnel des elements 

d'un circuit a deux processeurs. 

Le circuit integre intelligent objet de Pinvention est appele MUMIC (Multi 
Untraceable Microcomputer) et une premiere variante de sa constitution 
logique va etre explicitee en liaison avec la figure 1 . Cette constitution logique 

15 n'est pas representative de la constitution physique ou de ['implantation 
topologique, comme on le verra par la suite. Ce circuit integre intelligent est 
constitue d'un processeur principal (1) et d'un processeur secondare (2), 
chacun des processeurs etant connecte par son bus de communication 
(Adresses, Donnees et commandes) respectif (3,4) a des memoires 

20 respectives (12,13,22) cdntenant le programme principal (P1) et le programme 
secondaire (P2) a executer par chacun des processeurs respectifs principal (1) 
et secondaire (2), et des registres de travail , tels que, par exemple, des 
memoires volatiles RAM (11,21). Les m6moires reliees au processeur 
secondaire sont des memoires " trompe Poeil " vive (DumRAM 21) et morte 

25 (DumROM 22) qui permettent au processeur secondaire (2) d'executer des 
taches se superposant a celles du processeur principal (1). Le systeme 
d'exploitation du processeur principal est, par exemple, contenu dans une 
partie inaccessible de Pexterieur de la memoire morte (12), mais accessible par 
au moins un des deux processeurs. Chaque processeur (1, 2) possede son 
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propre sequenceur (1 9, respectivement 20). Le circuit integre selon Pinvention 
comporte egalement un circuit d'entree sortie (14) relie, d'une part au bus 
unique ou au bus du processeur principal lorsque le circuit est realise selon une 
variante a plusieurs bus et d'autre part, par exemple par des contacts ou un 
5 dispositif de liaison sans contact au monde exterieur pour recevoir les signaux 
d'un terminal. Un ensemble de registres (Rl, R2, R3) et un circuit d'interruption 
(15) peuvent etre rajoutes au processeur qui en a besoin pour la mise en 
ceuvre d'une des variantes de fonctionnement correspondant a une variante de 
realisation decrite ci-apres. Les trois elements (R1, R2, R3) sont relies a un 
10 circuit de generation d'interruption (15) lequel est branche sur les entrees 
d'interruption du processeur (en Poccurrence le principal). 

Le systeme d'exploitation du processeur principal (1) est unique dans le 
cas d'une variante processeur principal maftre processeur secondaire esclave 
et se trouve dispose dans la memoire morte (12) accessible par le processeur 

15 principal. Lorsque cela est necessaire pour les variantes ou les processeurs 
peuvent avoir leurs roles echanges, un deuxieme systeme d'exploitation ou le 
meme systeme d'exploitation peuvent etre rendus accessible au processeur 
secondaire, par exemple par un echange de jeton de droit d'acces et un 
controle de ce droit d'acces avant que le processeur ne passe la main a Pautre. 

20 De m§me un circuit d'interruption peut §tre rajoute a chaque processeur qui en 
a besoin pour le r6le qu'il doit jouer, en particulier dans le cas de I'echange de 
role ou dans la variante de realisation de la figure 2a. 

Le programme principal (P1) est contenu dans la memoire non volatile 
(13) et Putilisation des memoires trompe-l'oeil correspond a celle decrite dans la 
25 demande de brevet fran9ais publiee sous le numero FR 2 765 361 , en tenant 
compte du fait qu'il peut y avoir simultaneity d'execution entre au moins deux 
processeurs du circuit integre intelligent. Dans un tel cas, les deux types de 
mdmoires (trompe Pceil et les autres) sont exploitees pendant les memes 
periodes, ceci m§me si le bus est en realite multiplexe. 
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Le circuit integre comporte egaiement une interface d'entree sortie 
reliee a au moins un bus du circuit integre, cette interface pouvant etre du type 
soit parallele/parallele, soit parallele/ serie. Dans une variante de realisation, la 
memoire vive de travail RAM (11) du processeur principal (1) peut etre 
5 fusionnee avec la memoire vive trompe-roeil (21 DumRAM) du processeur 
secondare (2) pour former une seule et meme memoire double ports comme 
represents figure 5. Ces memoires double ports, vive (11-21)) utilisent une 
paire de registres d'adresse (110, 210), pour recevoir les signaux d'adresse 
(ADD0, ADD1) et permettre I'acces par le processeur principal (1), 

10 respectivement secondaire (2). Ces memoires double ports, vive (11-21), 
utilisent egaiement une premiere paire (111, 211) de registres de donnees pour 
permettre I'acces en lecture de donnee par le processeur principal (1), 
respectivement secondaire (2). Les sorties des registres de donnee de lecture 
sont relives £ des amplificateurs (113, 213) qui delivrent les signaux de 

is donnees (DO, D1). Enfin ces memoires double ports, vive (11-21) utilisent 
egaiement une seconde paire (112, 212), de registres de donnee pour 
permettre I'acces en ecriture de donnees par le processeur principal (1), 
respectivement secondaire (2). Ce type d'architecture memoire double ports est 
disponible chez des fournisseurs tels que Motorola ou Texas Instrument Les 

20 m6moires double ports , synchrones ou asynchrones, permettent d'acceder, 
par deux voies distinctes, a une zone d'adresse mSmoire, en lecture ou en 
6criture. Elles sont utilisees, en particuiier, pour regler des processus de 
synchronisation entre systemes distincts. L'utilisation de la memoire double 
ports pour synchroniser des processus repose sur le fait que les processeurs 

25 peuvent acceder a la memoire par deux voies independantes (adresse et 
donnees) de maniere synchrone ou asynchrone et partager des donnees qui 
peuvent etre utilisees simultanement 

Les deux processeurs (1,2), leur bus (3,4) et leur memoires 
(11,21;12,13,22) sont alimentes par dels circuits communs d'alimentation (6) de 
30 fafon a reduire au maximum la distinction entre les appels energetiques de Tun 
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ou Pautre processeur. Avec le progres des technologies du semi-conducteur, il 
est en effet possible aujourd'hui d'adjoindre sur une meme puce deux 
processeurs qui n'occupent que quelques mm2 et done d'obtenir une solution 
6cpnomiquement viable, le surcout du deuxieme processeur devenant tres 
5 faible, surtout si on le compare aux surfaces occupees par les memoires vives 
(RAM) et non volatiles programmables (NVM). II est propose d'utiliser des outils 
de placement et de routage qui permettraient de fusionner les processeurs 
dans un seul et unique bloc de conception (design). Habituellement, Phomme 
de metier, s*il a a implanter deux processeurs sur un meme substrat avec des 
10 memoires vives, mortes et non volatiles programmables, va chercher le 
regroupement des fonctions ainsi que le chemin optimum et le respect des 
contraintes de timing. Ceci va Pamener & adopter une architecture et une 
implantation qui sera tres proche de celle representee a la figure 7, dans 
laquelle les deux processeurs (CPU1, CPU2) sont implantes £ proximite Tun de 
is Pautre, le circuit d'horloge (H) a proximite des processeurs, les circuits 
peripheriques (14) constituant les entrees sorties sont egalement adjacents des 
processeurs, ainsi que ce que Pon appelle en terme de metier la "glue" logique 
G1, qui est un ensemble d'elements logiques necessaires au fonctionnement 
du circuit integre. Les autres elements constituant les memoires vives RAM 
20 (11et 21), morte ROM (12 et 22) et NVM non volatile programmable (13) seront 
disposes tout autour. Une particularity de invention reside dans le fait que les 
operateurs logiques, arithmetiques, ainsi que les fonctions de controles seraient 
melanges, au niveau des portes ou cellules etementaires, les uns aux autres 
afin que Pon ne puisse determiner, a priori, ('emplacement physique d'une 
25 cellule appartenant a une fonction. Ainsi chaque processeur serait morcete en 
un certain nombre d'6l§ments representes par des carres ou des rectangles sur 
la figure 6. Ces elements pourront etre implantes au milieu d'autres 
representes, par cercles et constituant les circuits d'horloge ou au milieu des 
elements hexagonaux constituant la "glue" logique ou encore au milieu des 
30 elements de forme trapezoTdale constituant les circuits peripheriques ou enfin 
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au milieu crime combinaison de ces elements, comme represents figure 6. 
Uimplantation physique des circuits des deux processeurs sera 
avantageusement realisee en utiiisant une telle topologie completement 
banalisee sans blocs physiques fonctionnels facilement reperables comme 
5 c'est le cas habituellement. Une telle topologie est utilisee dans les circuits 
"Gate Arrays" dont chaque cellule de la matrice peut contribuer a la realisation 
de n'importe quelle fonction. De cette maniere, les deux processeurs (1,2) 
peuvent etre physiquement imbriques, malgre une organisation logique 
separee, a tel point que deux transistors adjacents peuvent appartenir soit a 

10 Tun, soit a Tautre des processeurs ou de leurs circuits associes. Ceci est rendu 
possible par le fait que la classe de circuit a laquelle s'adresse le domaine de la 
carte a microprocesseur n'impose pas des performances 6levees en terme de 
cycle d'horloge. Ce mode d'implantation des circuits est done particulierement 
favorable a assurer la securite de Pensemble. Bien entendu, la realisation de 

is tels circuits necessite un trace automatique assiste par ordinateur pour assurer 
un routage correct des signaux et une maftrise des fonctionnalites. On contort 
done que les consommations de chaque bloc fonctionnel sont parfaitement 
imbriquees et se combinent completement. 

En outre, les deux processeurs peuvent communiques soit par 
20 Tintermediaire d'une liaison specifique, soit par un jeu (50, 51, figure 2a) de 
registres de communication connectes aux bus (3,4), soit encore par vol de 
cycle sur le bus de Tautre processeur, soit encore par une logique d'arbitrage, 
dans le cas d*un bus partage entre les deux processeurs, comme represents 
figure 3. 

25 La figure 2a represente, par exemple, une liaison utiiisant deux 

registres (50,51) fonctionnant en mode interruption a Taide des circuits de 
detection (B1,B2), mais on peut aussi utiliser un registre double acces (5) avec 
un protocole voisin de ceiui utilise dans les cartes a puces, e'est-a-dire dans 
lequel le processeur principal (1) est le mattre. Dans Texemple de realisation 

30 selon la figure 2a, un premier registre (50) assure la liaison entre le bus (3) du 
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processeur principal (1) et celui (4) du processeur secondaire (2), tandis qu'un 
second registre (51) assure la liaison dans Pautre sens. Chacun des premier 
(50), respectivement second (51), registres est muni d'une premiere bascule 
(B1), respectivement seconde bascule (B2), de memorisation qui passe a I'etat 
5 actif lorsqu'une information a ete postee dans le registre correspondant La 
sortie de la premiere bascule (B1) est reliee au systeme d'interruption du 
processeur secondaire (2), tandis que celle de la seconde bascule (B2) est 
reliee au systeme d'interruption du processeur principal (1). La taille des 
registres est suffisante pour contenir les demandes et les reponses de chacun 
10 des processeurs. La figure 2b represente la structure d'une trame avec un en- 
t£te, un champ de donnees et un champ permettant de detecter les erreurs. 
Chaque trame peut constituer soit un bloc ^informations (bloc I), soit un bloc 
d'acquittement (bloc A), chacun de ces blocs pouvant etre transmis dans les 
deux sens. L'en-tete peut etre constitue de deux octets, le premier donnant le 
15 numero du bloc et le deuxieme la longueur. Lorsqu'un bloc est post6 dans le 
premier registre (50), la bascule produit un signal qui est interprets comme une 
interruption IT1 par le processeur secondaire (2), lui permettant ainsi d'etre 
prevenu qu'un message a sa destination est present dans le premier registre 
(50). Le processeur secondaire (2) peut done saisir le bloc en lisant le contenu 
20 du premier registre (50), puis acquitter la reception du bloc par un bloc 
d'acquittement (bloc A) poste dans le second registre (51) a destination du 
processeur principal (1) avec le meme num6ro. Ce precede est connu pour 
permettre notamment le chainage des blocs, bien que ceci ne soit pas 
absolument necessaire dans le cadre de cette invention. Dans chaque bloc 
25 d'informations, le champ d'informations peut §tre lui-meme divise en deux 
parties : un champ de commandes et un champ de donnees. Le champ de 
commande permet ainsi au processeur principal d'envoyer des instructions au 
processeur secondaire. Par exemple, on trouvera, sans que la liste soit 
limitative, les commandes suivantes: lecture, 6criture, verification d'une donn6e, 
30 authentification. Lorsqu'une commande est re$ue par le processeur secondaire 
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(2), ce dernier acquitte la reception de cette commande par un bloc 
d'acquittement (bloc A) poste dans le second registre (51) et traite la 
commande en question avant de poster une reponse dans ie second registre 
(51) sous forme d'un bloc d 'informations (bloc I). La reception de ce bloc sera 
5 acquittee par le processeur principal (1), par un bloc d'acquittement poste dans 
le premier registre (50) et ainsi de suite. La numerotation des blocs permet de 
rep6ter des blocs de donnees mal transmis ou re?us. Bien entendu, le 
protocole, pour echanger des informations entre le processeur principal et le 
processeur secondaire, peut etre utilise en sens inverse . 

io Les deux programmes (PI, P2) s'executent respectivement dans le 

processeur principal (1) et secondaire (2) de telle sorte que deux instructions 
s'executent simultanement. II est egalement possible de decaler les phases de 
Thorloge pilotant le processeur secondaire (2) de fagon que les cycles 
destructions ne se correspondent pas exactement dans chacun des 

15 processeurs. Les decalages peuvent en outre etre rendus variables et 
ateatoires, ce qui se traduira par des superpositions de cycles destructions 
egalement variables. Ces decalages peuvent etre engendres par le sequenceur 
(20) du processeur secondaire (2). 

Une solution avantageuse et economique consiste a utiliser une 
20 memoire "trompe-l'oeir vive (DumRAM 21) de tres petite taille pour la memoire 
"trompe-roeil" du processeur secondaire (2). En effet, cette memoire ne jouant 
aucun role reellement fonctionnel, on peut restreindre son espace adressable 
afin qu'elle tienne le minimum de place sur la puce. Get espace peut 
correspondre, par exemple, a simplement ajouter une ou plusieurs lignes de 
25 m6moire RAM dans la matrice de la memoire vive ; cet espace ayant ses 
propres registres d'adresse et de donnees. 

On peut laisser fonctionner le processeur secondaire (2) en 
permanence, mais il est preferable de disposer d f un canal de communication 
entre les deux processeurs qui peut etre avantageusement utilise pour activer 
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le processeur secondaire (2) et/ou pour signaler au processeur principal (1) que 
le processeur secondaire (2) est operationnel et/ou execute reellement des 
taches. Les processeurs possedent au moins deux etats : actif ou inactif. Par 
exempie, I'etat actif correspond & I'execution d'une suite d'operations diverses 
5 et I'etat inactif peut etre realise par une boucle d'attente ne contenant aucune 
operation. Le passage d'un etat a Fautre s'effectue par un mecanisme de 
communication entre les processeurs. Par exempie, le processeur principal 
peut activer un processeur secondaire inactif en envoyant une interruption a 
celui-ci. Dans les variantes de realisation mettant en oeuvre le mecanisme 
10 d'activation les processeurs disposent chacun, soit d'une ligne d'interruption a 
destination d'au moins un autre processeur, soit d'une ligne de reset En effet 
une autre fagon non preferentielle de reaiiser le passage de Petat active a I'etat 
desactive peut consister a maintenir un signal de reinitialisation (reset) a 
destination du processeur qui doit etre desactive et a le supprimer lorsque le 
is processeur passe £ T6tat active. Les moyens d'activation sont done les moyens 
qui permettent a un processeur de faire passer Pautre de I'etat active a T6tat 
desactive et inversement. 

Ceci peut se faire soit par un mecanisme d'authentification entre les 
deux processeurs, soit par un mecanisme de test de registre d'activitS. Le 
20 mecanisme d'authentification est declenche a la demande du processeur 
principal (1), ou periodiquement, ou encore ateatoirement. Des que le 
processeur principal (1) detecte une anomalie au cours de Tauthentification, il 
peut stopper tout traitement, ou se mettre dans une boucle d'attente. 

Pour ce faire, on peut utiliser un fonctionnement de ce type en mode 
25 interruption. Lors de Interruption generee, par exempie, par Tanomalie 
detectee au niveau du processeur principal (1), un dialogue s'engage entre les 
deux processeurs pour reaiiser une authentification pilotee par le processeur 
principal (1). Cette authentification consiste, par exempie, a faire chiffrer par le 
processeur principal (1) une donnee sur la base d'une cle stockee dans une 
30 zone secrete d'une memoire non volatile programmable (13, NVM) connectee 
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au bus (3) du processeur principal (1). La donnee chiffree est envoyee au 
processeur secondare (2) par le canal de communication et ce dernier la 
dechiffre puis renvoie le resultat au processeur principal (1) qui compare le 
resultat du dechiffrement a la donnee. Si le resultat est correct, le processeur 
5 principal (1) peut continuer a travailler, sinon il entre dans une boucle d'attente 
en attendant la prochaine authentication. Ces mecanismes sont connus et ne 

posent pas de probleme particulier a Phomme de Part. 

<, 

Le processeur principal (1) peut aussi venir tester un registre d'activite 
dans la mernoire vive "trompe-Foeil" (DumRAM, 22) du processeur secondaire 
10 (2) et constater que ce registre est bien modifie a chaque test Si ce registre 
n'est pas modifie, le processeur principal peut suspendre son activite de fagon 
similaire a la precedente. 

Dans une variante, ii est possible d'utiliser pour programme secondaire 
(P2), la copie d'une partie quelconque du programme principal (P1) en pointant 
15 au depart sur une adresse au hasard et/ou en operant sur des donnees 
differentes de celles du programme principal. On aura ainsi Tassurance que ce 
programme executera des instructions plausibles mais inutiles au plan 
fonctionneL 

On peut egalement faire executer au processeur secondaire (2) un 
20 programme correle a celui qui est execute par le processeur principal de fa<?on 
telle que les resultats intermediaires de traitement n'apparaissent jamais au 
cours de I'execution. Supposons, par exemple, que Ton veuille dissimuler le 
resultat d f une operation F en faisant executer respectivement par chacun des 
processeurs deux fonctions f1 et f2 differentes de F mais choisies de telle sorte 
25 que le resultat de F puisse etre obtenu par une fonction g combinant ces deux 
fonctions differentes de telle fagon que F = g (f1 ,f2). 

Pour eviter Tintroduction d'erreurs dans le code et/ou les donnees de la 
carte et permettre egalement d'effectuer des attaques contre la carte a puce 
(differential fault analysis, DFA) il est propose d'implanter des programmes 
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« intolerants aux fautes ». Cette introduction d'erreurs se fait notamment par 
des modifications instantanees de I'alimentation et/ou de i'horloge (power/clock 
glitch). Dans I'exemple ci-dessous (un programme de communication 
hypothetique), I'attaquant chercherait a modifier le comportement du 
5 branchement conditionnel (Hgne 3) ou du decrement (ligne 6) afin de recevoir 
des donnees au-dela de la zone memoire normalement prevue 
(answer_address + answerjength) : 



1 


b = answer_address 


2 


a = answerjength 


3 


if (a == 0) goto 8 


4 


transmit (*b) 


5 


b = b+ 1 


6 


a = a - 1 


7 


goto 3 


8 





Ces programmes « intolerants aux fautes » (c'est-a-dire capables de 
detecter des fautes) pour cartes a puce, ont par definition des taches 
redondantes qui sont executees sur les processeurs (CPU) d'une carte 
multiprocesseur. 

20 A certains points de "synchronisation" r«§alis6s par un "verrou" materiel 

ou logiciel, tel qu'un compteur physique ou logique decr§mente, ainsi qu'une 
instruction atomique de type transfert ("swap", "read-modify-write", connues par 
Tetat de Tart), Taccord des taches redondantes sur I'execution du programme 
est verifie par le ou les processus principaux. 

25 Un disaccord est considere par le processeur ayant proced6 a la 

verification comme signe d'une attaque. Uintroduction par un fraudeur 
d'erreurs dans le code de la carte devient alors beaucoup plus complexe du fait 
de ces verifications. Dans I'exempie ci-dessus, Pattaquant devrait parvenir a 
modifier le comportement de deux (ou plusieurs) taches de fa?on identique, ce 



0039660A1J_> 



WO 00/39660 



18 



PCT/FR99/03275 



qui paraTt pratiquement impossible (impracticable). 

En pratique, on cherchera a securiser Pintegrite des donnees "critiques" 
du programme. Pour les variables, cette securisation peut se faire par 
duplication en memoire. Chaque processeur (CPU) possede alors ses propres 
5 copies des variables en question qui sont stockees dans une memoire 
reellement fonctionnelle et non pas de type trompe-roeil. Dans notre exemple 
hypothetique, le decrement de la variable "a" (compteur de boucle) peut etre 
protegee par la sequence destructions ci-dessous qui est executee par 
chacun des processeurs : 
10 6 a = a - 1 

6* SYNCHRONISATION DES PROCESSEURS 
6" if (a 1 != a) goto attack 

Ou "a 1 " est une copie de la variable "a" utilisee par le deuxieme 
15 processeur et dans le cas ou "a" est different de "a 1 " le programme se branche 
sur la routine de traitement denommee "attack" qui prend les mesures 
necessaires pour proteger la carte. 

Par exemple, suite a la detection d'une attaque, ii y a branchement a 
Tetiquette (label) "attack" et la routine de traitement "attack" executera les 
20 operations adequates, telles que la reinitialisation (Reset) des 
microprocesseurs et/ou Peffacement des c!6s en memoire non volatile 
programmable, par exemple du type E 2 PROM. 

On notera qu'il est egalement possible de securiser directement le 
controle de flux, c'est-a-dire le deroulement du programme. La donn6e critique 
25 securisee est alors le compteur ordinal des processeurs (ou une autre 
information liee au compteur ordinal si les processeurs n'executent pas le 
meme code). Apr§s chaque branchement (conditionnel ou inconditionnel) que 
Ton veut securiser, il faut que les taches redondantes comparent Tinformation 
sur la direction que les branchements respectifs ont pris. Dans Texemple 
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hypothetique donne ci-dessus, le branchement conditionnel en ligne 3 peut 
alors etre securise par echange et comparaison du compteur ordinal ou de 
reformation correspondante en lignes 4 et 8. 

Les operations d'echange et de comparaison peuvent etre realisees, 
5 soit en logiciel (de fa9on simiiaire a la sequence destructions 6 - 6" d6crite ci- 
dessus), soit en materiel par un comparateur (8) tel que celui de la figure 4 qui 
est actionne par un signal resultant de Toperation de synchronisation et deiivre 
sur son entree de validation (80). Le comparateur (8) report egalement sur ses 
autres entrees (81, 82) les signaux representatifs des valeurs des compteurs 
10 ordinaux (PC, PC 1 ) respectifs a chaque processeur principal (1) et secondaire 
(2). 

En cas d'attaque, ie comparateur materiel (8) declenchera par le signal 
(attack interrupt) emis sur sa sortie (83), le traitement d'une interruption 
effectuant alors les operations adequates au travers du mecanisme 
15 d'interruption des microprocesseurs (exemple: Reset interrupt). 

On pourrait etre tente de dire que ces mecanismes s'apparentent a 
Texecution classique de programmes dans un systeme ^ deux processeurs, 
mais les mecanismes de Pinvention sont tres differents: 

* Les deux processeurs sont alimentes par les memes circuits, de 
20 fapon a melanger les differentes consommations instantan^es des deux 

processeurs et de leurs circuits associes. lis peuvent etre situes sur le meme 
substrat de silicium. 

* Les signatures des instructions utilisees dans ie processeur 
secondaire sont de nature a dissimuler Peffet des signatures des instructions 

25 executees dans le processeur principal 

* Le but du programme secondaire est d'executer des fonctions 
differentes du programme principal mais qui occuitent celles de ce programme 
principal. On peut ainsi considerer un processus secondaire executant des 
taches sans aucune correlation avec le programme principal, voire m§me 
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incoherentes ou, au contraire, faire realiser des taches paralleles au processus 
principal qui sont correlees a ces dernieres dans le but de les dissimuler. 

* La taille de la memoire vive "trompe-l'oeir peut souvent etre 
beaucoup plus petite que celie necessaire au deroulement normal d'un 

5 programme. 

* Le processeur principal n'execute un programme sensible au sens de 
la securite que si le processeur secondaire est authentifie et/ou s'il est actif. 

* le contenu de la memoire vive "trompe-PoeH" n'a pas d'importance 
fonctionnelle car elle ne sert qu'& brouiller les pistes dans la consommation 

10 energetique de Pensemble des memoires. 

* il n'est pas necessaire de sauver et de restaurer les contextes des 
programmes secondares 

Dans une autre variante de realisation, le processeur principal (1) active 
un compteur de temps (timer) (R3) initialise soit a Paide du generateur aleatoire 

15 (R1), soit a partir du contenu de la memoire non volatile programmable (13, 
NVM). Cette memoire non volatile programmable (13) peut en effet contenir un 
nombre unique modifie a chaque utilisation. Quand le compteur de temps (R3) 
arrive a echeance au bout d'un temps imprevisible de Texterieur, il declenche 
una authentification du processeur secondaire (2) par le processeur principal 

20 (1). 

Dans une autre variante de realisation le registre (R2) peut, apres avoir 
6te charge par des informations particulieres (par exemple venant d'une 
m6moire ou du g6nerateur aleatoire (R1)), etre utilise pour declencher une 
interruption. 

25 Dans une autre variante de realisation, un generateur aleatoire (R1) est 

relie au systeme d'interruption (15) du microprocesseur principal (1) de fa9on a 
engendrer des interruptions irregulieres et completement desynchronisees par 
rapport a Pexecution des programmes dans le processeur principal (1). Bien 
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entendu, le systeme d'interruption peut etre masquable ou non en fonction du 
traltement considere. Dans ce cas, si {'interruption est masquee, le 
fonctionnement de Tensemble est classique en monoprocesseur, mais des que 
ie programme principal (P1) en cours veut se proteger contre d'eventuelles 
observations, il autorise cette interruption qui declenche Tauthentification et 
Tactivation du processeur secondaire (2). 

Dans une autre variante de realisation a bus commun partage entre au 
moins deux processeurs, par exemple n, chaque processeur (1a, 1b,...,1n, 
fig.3) est relie a une logique d'arbitrage centralisee (8) par trois types de lignes, 
un premier requete de bus (31) (Bus Request), un second bus occupe (32) 
(Bus Busy) et un troisfeme scrutation de bus (33) (Bus Polling) du bus 
commun (3) . Les deux premiers types, requete (31) et occupe (32) sont 
constitues respectivement d'une seule ligne commune a tous les processeurs, 
tandis que fe dernier type, scrutation (33) est une ligne individuelle 
(33a,33b,...,33n) a chacun des n processeurs (1a, 1b,...,1n). L'ensemble des 
processeurs se partagent au travers du bus unique (3) la memoires vive (RAM), 
la memoire morte (ROM), la memoire non volatile programmable (NVM) et le 
circuit d'entree sortie (I/O). 

Un processeur (par exemple, 1a) souhaitant acquerir le bus (3) indique 
ce souhait sur la ligne de requ£te de bus (31). L'arbitre (8) interroge les autres 
processeurs (1b,...,1n) d'aprds un algorithme bien d6termin§ (exemple: 
interrogation cyclique, scrutation de bus) sur les lignes de type scrutation 
(33bi...,33n) correspondant aux processeurs interroges. Le premier processeur 
interrog6 qui en avait fait la demande acquiert le bus et active la ligne bus 
occupe (32) ( Bus Busy ). L'arbitre (8) ne reprend I'interrogation qu'une fois le 
bus (3) libere par le passage du signal transmis sur la ligne bus occupe (32) de 
Petat actif a Tetat inactif. On comprend done que, les processeurs sont 
connectes sur un seul et meme bus, dont ils se partagent les accds en 
multiplexant ces acces dans le temps. 
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Bien entendu, il est possible de combiner les effets des modes de 
realisation precedents et il n'est pas necessaire que le brouillage soit realise de 
facon continue. 

Ainsi, lorsque le programme principal (P1) execute des fonctions non 
5 sensibies sur le plan securitaire, le brouillage realise par I'invention peut etre 
rendu intermittent en ayant recours de facon intermittente au fonctionnement 
monoprocesseur, par exemple, pour delivrer des resultats au monde exterieur, 
a des fins de test, ou encore masquer les interruptions du compteur de temps 
(R3) ou du generateur aleatoire. Des qu'une fonction securitaire est mise en 
10 oeuvre, le programme principal (P1) autorise le fonctionnement du processeur 
secondaire (2) afin de "brouiller" le fonctionnement. 

En fait, la securite ne provient plus du fait que le processeur est 
cadence aleatoirement comme dans I'art anterieur, mais se situe au niveau de 
I'execution simultanee de deux programmes (P1.P2) de signatures differentes 
15 par deux processeurs (1 ,2) alimentes par les memes sources d'energie. 

L'organisation des programmes executes par le processeur principal (1) 
peut etre realisee de telle maniere que le fonctionnement du processeur 
principal soit pilote par un veritable systeme d'exploitation securitaire qui decide 
du type de brouillage a mettre en oeuvre en fonction du type de programme 

20 execute par la machine. Dans ce cas, c'est le systeme d'exploitation du 
processeur principal (1) qui gere comme bon lui semble les divers signaux de 
commande du processeur secondaire (2). II est egalement clair que le 
programme secondaire (P2) peut etre utilise pour realiser des fonctions utiles 
au programme principal (P1), notamment des traitements qui peuvent accelerer 

25 le temps de traitement global. Ces traitements peuvent etre constitues , par 
exemple, par des preparations de calculs effectues par le programme 
secondaire mais utilises ulterieurement par le programme principal (P1>. Bien 
entendu, on peut facilement generaliser les mecanismes de I'invention lorsque 
le processeur fonctionne en multiprogrammation, les programmes duplication 
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pouvant aiors etre consideres comme autant de programmes principaux. 

Le generateur aleatoire et le compteur de temps vus plus haut ne 
posent pas de probiemes particuliers de realisation et sont connus de I'homme 
de Tart iorsqu'ils sont utilises separement pour d'autres usages n'ayant aucun 
5 lien avec I'invention. 

Dans une autre variante if est possible de realiser ('invention de telle 
sorte que les deux processeurs puissent alternativement jouer le role de 
processeur principal et de processeur secondaire. Cela suppose qu'un jeton de 
priorite soit echange entre les deux processeurs pour conferer a celui des deux 
10 qui le d6tient le r6le de maitre a un instant donne. 

D'autres modifications font egalement partie de Tesprit de Tinvention. 
Les variantes decrites avec un mode de realisation limite a deux processeurs 
peuvent egalement s'appliquer a des modes de realisation a plusieurs 
processeurs et font partie de ['invention. Ainsi, a tout moment dans la 
15 description le terme memoire morte doit etre compris comme etant une ROM 
mais peut etre remplace par une PROM, EPROM, EEPROM ou encore tout 
autre type de memoire non volatile programmable, morte ou vive. 
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REVINDICATIONS 



1. Circuit integre intelligent, caracterise en ce qu'il possede un 
processeur principal (1) et un systeme Sexploitation executant un programme 
5 principal (P1) pour constituer un processus principal realisant des taches, au 
moins un processeur secondare (2) capable d'executer concurremment au 
moins un programme secondaire (P2) pour constituer au moins un processus 
realisant des taches, des circuits d'alirnentation (6) communs entre les 
processeurs et des moyens permettant de s'assurer que le ou les processus 
10 secondaires d'energie similaire et de signature de fonctionnement different©, 
s'effectuent concurremment avec le processus principal en induisant dans les 
circuits d'alirnentation, de fa?on continue ou intermittente, des perturbations 
energetiques qui se superposent a celles du processus principal pour realiser 
un brouillage continu ou intermittent 

15 2, Circuit integre intelligent selon la revendication 1, caracterise en ce 

que les processeurs principaux ou secondaires sont chacun un 
microprocesseur ou microcalculateur securis6. 

3. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que Tactivation de ces moyens est declenchee par le systeme d'exploitation du 

20 processeur principal (1) du circuit integre intelligent, de telle sorte que la 
securite supplementaire creee par les moyens ci-dessus ne depend que d f une 
decision resultant de ('execution par le processeur principal du systeme 
d'exploitation situe dans un endroit du circuit integre inaccessible de Texterieur. 

4. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
25 qu ! il possede une memoire principale (12, 13), dediee au processeur principal 

(1), contenant le systeme d'exploitation dans au moins une partie de celle-ci 
inaccessible de Texterieur et accessible par au moins un des deux processeurs 
(1 f 2) et une memoire secondaire (21,22) respectivement dediee au processeur 
secondare (2). 
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5. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il possede au moins un bus (3,4) de communication entre les processeurs, 
leurs memoires respectives et un circuit d'entree sortie 

6. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 qu'il est realise a I'aide de circuits logiques disperses sur ie ou les substrats de 

fa?on que Timplantation physique des deux processeurs soit realisee sans 
blocs fonctionnels facilement reperables, par exemple par imbrication physique 
mais avec une organisation logique separee. 

7. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
io que le processeur secondaire (2) execute des taches du processus secondaire 

qui minimisent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

8. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 

15 correlees a ceiles du processus principal execute par le processeur principal (1) 
de fafon telle que les resultats intermediates de traitement n'apparaissent 
jamais au cours du processus. 

9. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
que le programme secondaire (P2) utilise un espace de travail plus petit que 

20 celui du programme principal (P1). 

10. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il possede des moyens de communication entre le processeur principal (1) et 
le processeur secondaire (2). 

11. Circuit integre intelligent selon la revendication 1, caracterise en ce 
25 que les moyens de communication (50, 51, B1, B2) entre les deux processeurs 

permettent au processeur principal (1) de savoir si le processeur secondaire (2) 
est operationnel ou non. 

12. Circuit integre intelligent selon la revendication 1, caracterise en ce 
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que les moyens de communication entre les deux processeurs permettent au 
processeur principal (1) de realiser une authentication du processeur 
secondaire (2) 

13. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 que le test d'authentification ou de fonctionnement du processeur secondaire 

(2) est realise en cours de traitement par le processeur principal (1). 

14. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le moyen d'activation du processeur secondaire (2) est commande soit par 
le processeur principal (1) et son programme principal (P1), soit par un systeme 

10 dlnterruption (15), soit par un compteur de temps (R3), soit encore par une 
combinaison des trois 

15. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 
sans correlation avec celles du processus principal executees par le 

is processeur principal (1). 

16. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des t§ches du processus secondaire 
qui minimisent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

20 17. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le programme secondaire (P2) met en oeuvre un processus correle au 
processus principal, de telle fagon que la combinaison des deux processus 
fournisse une signature de fonctionnement du processeur secondaire (2) qui 
dissimule celle du processeur principal (1). 

25 18. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le processeur secondaire (2) execute des taches correlees a celles du 
processeur principal (1) de fa?on telle que les r6sultats intermediates de 
traitement n'apparaissent jamais au cours du processus. 
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19. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) peut se substituer au processeur principal (1) 
et reciproquement. 

20. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
5 que le processeur secondaire (2) execute des teches correlees a celles du 

processeur principal (1) par synchronisation des processus et comparaison de 
valeurs de deux donnees provenant chacune du processeur respectif executant 
son programme respectif. 

21. Circuit integre intelligent selon la revendication 1, caracterise en ce 
10 que le processeur secondaire (2) execute des taches correlees a celles du 

processeur principal (1) par deduction logique du programme secondaire (P2) £ 
partirdu programme. principal (P1). 

22. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il comporte au morns deux processeurs et chacun des processeurs (1, 2) 

15 poss6de un bus respectif (3, 4) auxquels sont relives les m6moires vives, 
mortes pour chaque processeur et non volatile pour le processeur principal. 

23 Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il comporte une pluralite de processeurs dont chacun est relie a un seul et 
meme bus de communication multiplexe entre les processeurs et un ensemble 
20 de memoire vive f morte et non volatile relie & ce bus, les conflits d'acc&s & ce 
bus commun etant geres par un circuit d'arbitrage (8). 

24. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
que le processeur secondaire (2) execute successivement et dans n'importe 
quel ordre, soit des programmes correles, soit des programmes sans 
25 correlation avec ceux executes par le processeur principal (1). 
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